HSC - Rapport de veille -

Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet

Vous êtes ici : Accueil > Ressources > Veille technologique >

Accéder au : Site HSC des formations

Services

			Domaines de compétences
			Conseil & Expertise
			Prestations ISO 27001
			Audit & Évaluation
			Tests d'intrusion
			Tests de vulnérabilités (TSAR)
			Analyse Forensique
			Certification ARJEL
			Formations
			E-learning

Conférences

			Agenda
			Interventions passées
			Tutoriels

Ressources

			Index thématique
			Brèves
			Présentations
			Cours
			Articles
			Outils (téléchargement)
			Veille en vulnérabilité

Société

			Hervé Schauer
			Equipe
			Offres d'emploi
			Références
			Historique
			Partenariats
			Associations

Presse et
communication

			Newsletter HSC
			Revue de presse
			Communiqués de presse
			Publications

Contacts

			Coordonnées
			Requêtes particulières
			Accès à nos locaux
			Hôtels proches de nos locaux


	Accès au contenu		Début du rapport

	Description		Compte-rendu de la conférence "Mise en oeuvre des ICP : retours d'expérience", qui s'est tenue au Clusif le 2 octobre 2001.

	Contexte & Dates		Rapport réalisé pour notre service de veille en actualité . La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence. 23 décembre 2001 - Rédaction du compte-rendu 29 décembre 2001 - Envoi aux abonnés de la veille en actualité 4 juin 2002 - Publication sur le site web d'HSC

	Auteur		Franck Davy et Hervé Schauer (Herve.Schauer@hsc.fr)

	Langue et Nature

	Résumé & Table des matières		1. Bertrand Sevellec (Integris) 2. Dominique Manenc (Certplus) 3. Jean-Pierre Chabaneix Conclusion

	Documents liés

	Droits d'auteur		© 2001, Hervé Schauer Consultants, tous droits réservés.

Au programme de cette conférence, l'intervention de quatre acteurs ayant participé au déploiement d'une Infrastructure Clé Publique (ICP) à différentes étapes clés du projet : de sa définition, avec Bertrand Sevellec (Responsable Architecture chez Integris) à son utilisation effective, avec Jean-Pierre Chabaneix (Responsable des Systèmes d'information à la SNCF) pour son expérience d'utilisateur, tout en passant par sa mise en place et son exploitation avec Dominique Manenc pour le prestataire de services de certification Certplus et Fabrice Jonvel pour Neurocom (avec l'exemple de la Poste et de son service d'horodatage).

La trame de la conférence fut la suivante :

Présentation d'un projet de mise en place de plate-forme d'accès intranet dans un contexte ICP
Panorama du marché des ICP et des offres des prestataires de services de certification
Retour d'expérience d'un utilisateur

1. Bertrand Sevellec (Integris)

Bertrand Sevellec (Integris) a succinctement présenté la part de la composante PKI dans l'architecture Bull eSentry, plate-forme d'accès à des applications depuis l'intranet ou l'internet, issue de Bull, et utilisée chez Bull dans son exemple.

L'architecture eSentry ne requiert qu'une seule et unique authentification, via un serveur WebSSO et l'utilisation de certificats X509. C'est un mécanisme de type Single Sign On (SSO) dans un environnement PKI, déjà présenté au Clusif lors de la conférence SSO du 10 mai 2000 . Les points abordés lors de la présentation sont classiques : quelques considérations générales, récapitulant les éléments constituant une telle architecture ainsi que les principes généraux (qu'il s'agisse des autorités de certification ou d'enregistrement, des utilisateurs ou encore de l'aspect organisationnel à travers la rédaction de documents administratifs etc.), suivi de la démarche adoptée pour aborder cette mise en oeuvre.
L'accent a été placé, comme il est de rigueur dorénavant compte-tenu du recul et de la visibilité que l'on peut avoir de ce type de projet, sur la double difficulté d'avoir d'une part des applications supportant une Infrastructure à Clé Publique, et d'autre part l'Infrastructure proprement dite. Une double difficulté qui requiert un investissement important, au sens large.
Au-delà des aspects techniques, visant à expliciter les interactions entre les différentes entités et applications (sur fond de certificats X.509, de relais HTTP en entrée, d'annuaires LDAP et autres autorités de certification etc.), cette intervention aura rappelé les principes directeurs de la réflexion à mener lors du déploiement d'une telle infrastructure : analyse de l'existant, analyse des besoins, état de l'art des outils disponibles afin d'adopter une démarche réaliste et cohérente, sans oublier la prise en compte des besoins exprimés par les utilisateurs eux-mêmes. Une difficulté inattendue : la composante syndicale, intervenant contre la multiplication des mots de passe, et par là même favorable à l'utilisation de supports de stockage type cartes à puce.

Les besoins ayant motivé la mise en place d'une telle infrastructure sont, principalement, une nécessaire unification des méthodes d'authentification auprès des applications, ceci en adoptant et conservant la flexibilité requise pour une société aux filiales multiples et à l'organisation mouvante. Les véritables problèmes se sont avérés directement liés à l'ICP proprement dite, concernant l'ensemble des procédures à formaliser, par exemple : quel est l'évènement "déclencheur" d'une demande de certificat (Concernant la demande de certificat, à la demande de l'utilisateur ? Idem concernant le renouvellement etc.). Ceci sans perdre de vue le budget ou encore la planification du projet qui sont autant de contraintes à considérer.

A l'heure actuelle, ce projet réside encore dans une phase embryonnaire, le seul retour d'expérience concerne donc les difficultés auxquelles les concepteurs de l'architecture ont été confrontés, mais aucun retour concernant l'utilisation effective de cette ICP.
Les choix réalisés n'ont donc pu être validés.

2. Dominique Manenc (Certplus)

Dans un tout autre registre, Dominique Manenc (Certplus) a dressé un panorama du marché des prestataires services de certification, des rôles que ces derniers pouvaient être amenés à tenir, ainsi que des pôles économiques susceptibles d'émerger, ventilés suivant les trois grandes catégories qui suivent, selon Certplus :

Le pôle "Sécurité" :
Pôle concernant principalement la sécurité des échanges, avec notamment la gestion des certificats X.509v3 utilisés lors de sessions SSL/TLS (pour les sites de commerce électronique principalement), ou encore l'authentification mutuelle lors de la négociation de paramètres de sécurité de tunnel IPSec (dans le cadre de VPN, typiquement).
Le pôle "Signature" :
Ce pôle est constitué des services nécessitant une identification du porteur ainsi qu'un service de non-répudiation (à distinguer du mécanisme de "signature" de par sa composante juridique).
Le pôle dit "Mixte" :
Ce pôle regroupe les activités comprenant le chiffrement et signature de courrier électronique, application actuellement la plus en usage.

Teneur de ce discours : la mise en place d'une ICP doit suivre une logique métier, et non une approche purement technologique. Il n'y a pas d'élément probant de retour sur investissement, à moins d'infogérer. Il conviendra de noter que c'est une application telle Télé-TVA, qui aura sauvé économiquement, à court terme du moins, le marché des fournisseurs de services de confiance.

Une mise en garde cependant, il ne faut en aucun cas négliger les nombreux freins au déploiement d'une telle infrastructure :

Manque de jurisprudence pour la signature électronique
Projets souvent à la croisée des chemins technologiques, juridiques et "marketing"
Manque de maturité des offres du marché : qu'il s'agisse des produits, en terme compatibilité notamment, ou encore des acteurs dont l'expérience est essentiellement bâtie autour de projets pilotes.

Cependant, les réussites existent : le service d'horodatage/estampillage de la Poste typiquement, ou encore l'infrastructure mise en place par le Ministère des Finances pour les télépaiements.
La problématique est cependant sensiblement différente de celle à laquelle sont confrontées les entreprises : il ne s'agit pas d'imposer une nouvelle organisation ou de remodeler son système d'information. Reste que les utilisateurs doivent suivre et en faire usage...

3. Jean-Pierre Chabaneix

Jean-Pierre Chabaneix a finalement présenté la mise en place d'un projet pilote d'ICP à la SNCF, relatant essentiellement son expérience en sa qualité d'utilisateur d'une telle infrastructure (conformément au thème parfois oublié de la conférence) : un utilisateur notamment comblé par l'introduction de systèmes à base de cartes à puce, technologie simplifiant la gestion des mots de passe grâce à une unification des méthodes d'authentification. Une simplification d'autant plus appréciable qu'elle concerne aussi bien l'administrateur de l'utilisateur final.

Le besoin primaire, ayant conduit à la mise en place d'une telle infrastructure, est simple et correspond une problématique à laquelle bon nombre d'entreprises sont actuellement confrontées : assurer la confidentialité des données enregistrées sur les postes de travail. Une confidentialité des données à assurer plus particulièrement au niveau des postes nomades, ceci afin de se prémunir contre le vol d'informations par l'introduction de solutions de chiffrement ou d'authentification forte. De plus, des services supplémentaires sont venus se greffer à ceux immédiatement envisagés, ou du moins sont envisagés à terme : le service de non-répudiation, directement associé à un mécanisme de signature électronique.

De tels besoins, en considérant la conjoncture actuelle, concernant l'évolution de la législation vis à vis de la reconnaissance de la signature électronique, ont mené à l'adoption d'une ICP pour les avantages qu'une telle architecture est susceptible de présenter ; une technologie d'ICP impose un modèle organisationnel de l'information, qui est universel : s'appliquant aussi bien aux hommes qu'aux équipements, et offre progressivement un véritable panel d'outils et de services.

Un projet pilote d'Infrastructure à Clé Publique a donc été mis en place en vue de bâtir, à terme, une solution complète et étayée d'un tel système, tout en respectant un certain nombre d'objectifs en terme de performances, d'adaptation à l'environnement technique existant etc.

Les choix technologiques réalisés ont donc été les suivants :

Utilisation du système d'exploitation Windows 2000, nécessitant la migration de l'ensemble du parc informatique (pour la cinquantaine de postes concernés par le projet pilote).
Support des certificats et clés privées sur un support amovible, type carte à puce.
Extériorisation de la gestion des clés et certificats, via un prestataire de services de certification agréé par le DCSSI.

Et l'utilisation faite de ce système est tout à fait classique :

Chiffrement des données via EFS
Logon session et réseau
Chiffrement et Signature des courriers électroniques via protocole S/MIME

Un projet pilote s'avérant satisfaisant, sans aucun doute concluant grâce au réalisme consistant à se concentrer sur le déploiement de l'Infrastructure en fonction des besoins et surtout des logiciels existants, la procédure inverse (preuve d'un excès d'optimisme et de confiance en cette technologie) conduisant inexorablement à l'échec.

Conclusion

Cette soirée aura permis de rappeler la fragilité économique de l'activité de l'infogérance des PKI et l'importance des aides publiques dans leur soutien, ainsi que la difficulté à trouver des applications concrètes et déployées. En Décembre 1999 déjà, Renault présentait à l'OSSIR sa propre ICP, utilisée avec des applications dédiées par ses revendeurs. En quelques chiffres : 40000 utilisateurs authentifiés dans plus de 100 pays et 200 applets signées.
Depuis ce premier déploiement en France, les tentatives de présentations d'expérience d'utilisateurs ne trouvent que des exemples de projets pilotes.